प्लेटफ़ॉर्म
other
घटक
convertx
में ठीक किया गया
0.16.1
CVE-2025-66449 ConvertX में एक पथ पारगमन भेद्यता (Path Traversal vulnerability) है, जो संस्करण 0.16.0 से पहले के संस्करणों को प्रभावित करती है। यह भेद्यता प्रमाणित उपयोगकर्ताओं को सिस्टम पर मनमाना फ़ाइलें लिखने की अनुमति देती है, जिससे बाइनरी को ओवरराइट किया जा सकता है और संभावित रूप से कोड निष्पादन संभव हो सकता है। संस्करण 0.16.0 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावर को ConvertX सर्वर पर मनमाना फ़ाइलें लिखने की अनुमति देती है। इसका मतलब है कि हमलावर महत्वपूर्ण सिस्टम बाइनरी को दुर्भावनापूर्ण कोड से बदल सकता है, जिससे सर्वर पर पूर्ण नियंत्रण प्राप्त हो सकता है। हमलावर सिस्टम पर बैकडोर स्थापित कर सकता है, संवेदनशील डेटा चुरा सकता है, या अन्य दुर्भावनापूर्ण गतिविधियाँ कर सकता है। इस भेद्यता का शोषण करने के लिए हमलावर को पहले ConvertX सिस्टम पर प्रमाणित होना होगा। चूंकि यह पथ पारगमन भेद्यता है, इसलिए हमलावर फ़ाइल पथ में विशेष वर्णों का उपयोग करके सिस्टम फ़ाइलों तक पहुंच सकता है।
CVE-2025-66449 को अभी तक CISA KEV सूची में शामिल नहीं किया गया है। इस भेद्यता के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) ज्ञात नहीं हैं, लेकिन भेद्यता की गंभीरता और संभावित प्रभाव को देखते हुए, इसका सक्रिय रूप से शोषण किए जाने की संभावना है। यह भेद्यता 2025-12-16 को प्रकाशित हुई थी।
Organizations running self-hosted instances of ConvertX, particularly those with limited security controls or legacy configurations, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromised user account could potentially impact other users on the same server.
• linux / server:
find /var/www/convertx -name '*convertx*' -type f -mtime +7 -print # Look for recently modified ConvertX files
journalctl -u convertx -f # Monitor ConvertX logs for suspicious upload activity• generic web:
curl -I 'http://your-convertx-server.com/upload?file.name=../../../../etc/passwd' # Attempt path traversaldisclosure
एक्सप्लॉइट स्थिति
EPSS
0.13% (32% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-66449 के लिए प्राथमिक शमन उपाय ConvertX को संस्करण 0.16.0 या बाद के संस्करण में अपडेट करना है, जिसमें इस भेद्यता के लिए पैच शामिल है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल अपलोड फ़ंक्शन के लिए सख्त इनपुट सत्यापन लागू किया जा सकता है ताकि यह सुनिश्चित किया जा सके कि फ़ाइल नाम वैध हैं और उनमें पथ पारगमन वर्ण नहीं हैं। इसके अतिरिक्त, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग /upload एंडपॉइंट पर अनधिकृत फ़ाइल अपलोड को ब्लॉक करने के लिए किया जा सकता है।
Actualice ConvertX a la versión 0.16.0 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal que permite la escritura arbitraria de archivos y la ejecución de código. La actualización evitará que un atacante sobrescriba archivos del sistema y ejecute código malicioso.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-66449 ConvertX में एक पथ पारगमन भेद्यता है जो प्रमाणित उपयोगकर्ताओं को सिस्टम पर मनमाना फ़ाइलें लिखने की अनुमति देती है, जिससे कोड निष्पादन संभव हो सकता है।
यदि आप ConvertX के संस्करण 0.16.0 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-66449 को ठीक करने के लिए, ConvertX को संस्करण 0.16.0 या बाद के संस्करण में अपडेट करें।
CVE-2025-66449 के सक्रिय शोषण के बारे में कोई सार्वजनिक जानकारी नहीं है, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका सक्रिय रूप से शोषण किए जाने की संभावना है।
आधिकारिक ConvertX सलाहकार के लिए, कृपया ConvertX वेबसाइट पर जाएँ।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।